Capítulo 5. Problemas que debe tener en cuenta para buster

Se han detectado ciertos problemas con las opción de montaje hidepid para /proc y las versiones recientes de systemd, los desarrolladores de systemd consideran ésta una configuración no soportada. Se recomienda a los usuarios que han modificado /etc/fstab para activar estas opciones que las deshabiliten antes de la actualización, para asegurar que las sesiones login funcionen en buster. (Una alternativa posible para re-activarlas está descrita en la página del wiki Hardening.)

Las opciones por omisión de ypbind han cambiado. Sin embargo, si ha modificado este archivo los valores anteriores no se actualizarán y debe asegurarse de que la opción YPBINDARGS= en /etc/default/nis no incluye -no-dbus. Si la opción -no-dbus está presente, ypbind no podrá arrancar y es posible que no pueda acceder al sistema. Para más información consulte la errata bug #906436.

The default behavior of rpcbind has changed to no longer answer remote calls from NIS clients. On NIS servers you will need to add the (Debian-specific) -r flag to the command line options of rpcbind, otherwise users will not be able to log into your NIS client machines. For more info see bug #935492.

Las semánticas de las opciones PubkeyAcceptedKeyTypes y HostbasedAcceptedKeyTypes de sshd han cambiado. Estas opciones ahora especifican los algoritmos de firma que se aceptan por los respectivos mecanismos de autenticación, mientras que antes especificaban los tipos de clave aceptados. Esta distinción es importante cuando se utiliza el algoritmo de firma RSA/SHA2 rsa-sha2-256, rsa-sha2-512 y sus certificados equivalentes. Las configuraciones que sobreescriben estas opciones pero omiten los nombres de estos algoritmos pueden causar fallos de autenticación inesperados.

No se requiere una acción para las configuraciones que aceptan los valores por omisión para estas opciones.

El sistema puede bloquearse durante minutos e incluso hors si el susbistema de información aleatoria no está suficientemente inicializado (random: crng init done). Esto sucede debido a la necesidad de systemd e entropía durante el arranque y el núcleo tratando estas llamadas como bloqueantes cuando la entropía disponible es baja. Para sistemas amd64 que soportan la instrucción RDRAND este problema se puede evitar si el núcleo de Debian utiliza esta instrucción por omisión (CONFIG_RANDOM_TRUST_CPU).

Los sistemas que no sean amd64 y algunos tipos de máquinas virtuales y algunos tipos de máquinas virtuales deben disponer de diferentes fuentes de entropía para poder arrancar rápidamente. El programa haveged ha sido elegido para ésto por el proyecto del Instalador de Debian y puede ser una opción válida si no hay entropía hardware en el sistema. En máquinas virtuales puede considerar reenviar la entropía del huésped a la máquina virtual a través de virtio_rng.

Si lee esto después de actualizar a sistemas remotos de buster, envíe pings al sistema en la red de forma contínua puesto que ésto añade entropía a la fuente de información aleatoria y el sistema será alcanzable por ssh de nuevo.

Consulte el wiki y al resumen de DLange de este problema para ver más opciones.

Si su sistema se actualizó de una versión anterior y aún utiliza los nombres de interfaces de red antiguos que quedaron obsoletos en stretch (como eth0 o wlan0), debería tener en cuenta que el mecanismo de definir sus nombres a través de /etc/udev/rules.d/70-persistent-net.rules ya no está soportado oficialmente por udev en buster (aunque puede funcionar en algunos casos). Para evitar el problema de que su equipo pierda conectividad durante la actualización de buster, se recomienda que migre de forma anticipada al nuevo esquema de nombres (habitualmente esto significa utilizar los nombres como enp0s1 o wlp2s5, que incorporan nombre del bus PCI y números d eranura). Tenga cuidado de actualizar cualquier nombre de interfaz que se haya introducido en otros elementos de configuración como cortafuegos, ifupdown, etc.

The alternative is to switch to a supported mechanism for enforcing the old naming scheme, such as a systemd .link file (see systemd.link(5)). The net.ifnames=0 kernel commandline option might also work for systems with only one network interface (of a given type).

Para encontrar los nombres del nuevo formato que se van a utilizar debe primero encontrar los nombres actuales de los interfaces relevantes:

$ echo /sys/class/net/[ew]*
    

Para cada uno de estos nombres, compruebe si se están utilizando en los archivos de configuración y qué nombre udev prefiere utilizar para ellos:

$ sudo rgrep -w eth0 /etc
$ udevadm test-builtin net_id /sys/class/net/eth0 2>/dev/null
    

This should give enough information to devise a migration plan. (If the udevadm output includes an “onboard” or “slot” name, that takes priority; MAC-based names are normally treated as a fallback, but may be needed for USB network hardware.)

Una vez esté preparado para hacer el cambio, deshabilite 70-persistent-net.rules bien renombrándolo o bien comentando las líneas individuales. En máquinas virtuales tiene que eliminar los archivos /etc/systemd/network/99-default.link y (si utiliza interfaces de red virtio) /etc/systemd/network/50-virtio-kernel-names.link. Después reconstruya initrd:

$ sudo update-initramfs -u
    

y reinicie. Su sistema debería utilizar ahora los nombres de interfaces en el nuevo estilo. Ajuste cualquier configuración pendiente y vuelva a probar su sistema.

See the wiki, upstream documentation, and the udev README.Debian for further information.

Los sistemas que utilizan interfaces con canales agrupados o «dummy», como por ejemplo en los sistemas que están configurados como enrutadores, pueden tener problemas durante la actualización a buster. Las nuevas versiones de systemd instalan un archivo /lib/modprobe.d/systemd.conf (dirigido a simplificar la configuración via systemd-networkd) que contiene las líneas

 options bonding max_bonds=0
 options dummy numdummies=0
    

Los administradores que dependen de valores distintos tienen que asegurarse que están definidos de la forma correcta para que tengan precedencia. Un archivo en /etc/modprobe.d tendrá precedencia sobre el mismo nombre bajo /lib/modprobe.d, pero los nombres se procesan en orden alfabético, por lo que /lib/modprobe.d/systemd.conf sigue y tiene precedencia sobre (por ejemplo) /etc/modprobe.d/dummy.conf. Asegúrese de que cualquier archivo de configuración local tiene un nombre que quede ordenado después de “systemd.conf”, como “/etc/modprobe.d/zz-local.conf”.

Siguiendo distintas recomendaciones de seguridad, la versión mínima de TLS por omisión se ha modificado de TLSv1 a TLSv1.2.

El nivel de seguridad por omisión de conexiones TLS se ha incrementado también de nivel 1 a nivel 2. Esto mueve el nivel de seguridad de 80 a 112 bits, y hace necesario utilizar claves RSA y DHE de 2048 o más bits, claves ECC de 224 o más bits, y SHA-2.

Los valores configurados para todo el sistema pueden modificarse en /etc/ssl/openssl.cnf. Algunas aplicaciones pueden tener también una forma específica para la aplicación para cambiar estos valores por omisión.

En el archivo de configuración /etc/ssl/openssl.cnf hay una línea MinProtocol y CipherString. El valor de CipherString también puede definir el nivel de seguridad. Puede encontrar información de los niveles de seguridad en la página de manual SSL_CTX_set_security_level(3ssl). La lista de cadenas válida para la versión mínima del protocolo pueden encontrarse en SSL_CONF_cmd(3ssl). Puede encontrar más información en ciphers(1ssl) y config(5ssl).

Puede modificar los valores por omisión del sistema a los valores anteriores cambiando /etc/ssl/openssl.cnf como se indica a continuación:

        MinProtocol = None
        CipherString = DEFAULT
      

Se recomienda que contacte con el sitio remoto si los valores por omisión provocan problemas.

GNOME en buster ha cambiado su servidor de pantalla por omisión de Xorg a Wayland (consulte Sección 2.2.11, “GNOME utiliza Wayland por omisión”). Algunas aplicaciones no se han actualizado para funciona correctamente en Wayland, esto incluye el popular gestor de paquetes synaptic, el método de entrada de chino simplificado, fcitx, y la mayor parte de las herramientas para grabaciń de pantalla. Debe acceder en una sesión GNOME en Xorg si quiere utilizar estos programas.

A continuación se muestra una lista de los paquetes conocidos y notables que ahora están obsoletos (consulte Sección 4.8, “Paquetes obsoletos” para obtener una descripción).

La lista de paquetes obsoletos incluye:

Con la publicación de Debian 11 (nombre en clave bullseye) algunas funcionalidades estarán obsoletas. Los usuarios deben migrar a otras alternativas para evitar problemas al actualizar a Debian 11.

Esto incluye las siguientes funcionalidades:

Cuando haya terminado apt full-upgrade la actualización “formal” se habrá completado. No hay que hacer ninguna acción especial antes del siguiente reinicio del sistema tras la actualización a buster.

	Nota
	Esta sección no aplica si ha decidido continuar utilizando sysvinit-core.

Después de haber cambiado a systemd como sistema de arranque por omisión en Jessie, y las mejoras realizadas en Strecth, ya no es necesario tener instalados algunos paquetes relacionados con SysV. Estos paquetes pueden borrarse de forma segura como sigue

apt purge initscripts sysv-rc insserv startpar

Debian 10 incluye varios motores de navegadores web que están afectados por un flujo constante de vulnerabilidades de seguridad. La alta tasa de vulnerabilidades y la falta de un soporte por parte de los desarrolladores a versiones anteriores hace muy difícil dar soporte a estos navegadores y motores con arreglos de seguridad preparados para las versiones distribuidas. Además, las interdependencias entre bibliotecas hacen extremadamente díficil actualizar a las nuevas versiones distribuidas. Por tanto, los navegadores basados p.ej. en los motores de webkit y khtml^[6] están incluidos en buster, pero no están cubiertos por el soporte completo de seguridad. No deberían utilizarse estos navegadores para acceder a sitios no confiables. El paquete fuente webkit2gtk está cubierto por el soporte de seguridad.

Para la navegación web general se recomienda utilizar Firefox o Chromium. Se mantendrá actualizadas recompilando las versiones ESR más recientes para estable. La misma estrategia se aplicará a Thunderbird.

La infrastructura de Debian no proporciona soporte a gran escala para la reconstrucción de paquetes que enlazan de forma estática con otros paquetes. Hasta buster esto no ha sido un problema en la práctica, pero con el crecimiento del ecosistema de Go esto significa que los paquetes basados en Go no están cubiertos por el soporte regular de seguridad. Estarán cubiertos cuando se mejore la infrastructura se actualice y mejore para poder gestionarlos de una forma mantenible.

Si es necesario producir una actualización, éstas sólo pueden ofrecerse a través de una nueva publicación, que tardará un tiempo en producirse.

Es necesario tener el núcleo Linux versión 2.3 o posterior a partir de la versión 2.26 de glibc. Para impedir que se pueda romper el sistema, el programa de preinstalación de libc6 incluye una comprobación que abortará la instalación del paquete, dejando la actualización sin terminar. Si su sistema está ejecutando un núcleo más antiguo que 3.2, actualícelo antes de empezar la actualización de la distribución.

Se han modificado las semánticas de su en buster y el programa ya no mantiene las variables del entorno de usuario DISPLAY y XAUTHORITY. Tendrá que fijar explícitamente estas variables si desea ejecutar aplicaciones gráficas con su. Puede leer una discusión extensiva sobre este comportamiento en bug #905409.

Los datos de localización de glibc se actualizarán cuando se actualice de stretch a buster. Específicamente, esto modifica como PostgreSQL ordena los datos en texto en los índices. Para evitar corrupción de datos, estos índices tienen que REINDEXarse inmediatamente después de actualizar los paquetes locales o locales-all y en cualquier caso antes de poner la base de datos de nuevo en producción.

Orden sugerida

sudo -u postgres reindexdb --all

Alternativamente, actualice la base de datos a PostgreSQL 11 utilizando pg_upgradecluster. (Este utiliza por omisión pg_dump que reconstruye todos los índices. No es seguro utilizar la opción -m upgrade o pg_upgrade porque mantienen el orden incorrecto de los índices.)

Consulte el Wiki de PostgreSQL Wiki para más información.

En stretch, el paquete mutt tiene parches aplicados de las fuentes de https://neomutt.org. A partir de buster, el paquete que ofrece /usr/bin/mutt incluirá en su lugar las fuentes originales de http://www.mutt.org, y se ofrece un paquete separado neomutt que ofrece /usr/bin/neomutt.

Esto significa que algunas de las funcionalidades que estaban disponibles previamente en mutt. Si esto rompe su configuración puede instalar neomutt en su lugar.

No hay una forma directa de cambiar la configuración en la aplicación de Configuración de GNOME ofrecida por gnome-control-center sin un dispositivo apuntador. Como alternativa, puede navigar de la barra lateral al contenido principal pulsando dos veces Flecha derecha. Para volver a la barra lateral, puede empezar a escribir con Ctrl+F, escriba algo y luego pulse Esc para cancelar la búsqueda. Ahora puede utilizar las teclas Flecha arriba y Flecha abajo para navegar a la barra lateral. No es posible seleccionar resultados con el teclado.

Users of the initial buster release images should not change the LUKS password of encrypted disks with the GNOME graphical interface for disk management. The gnome-disk-utility package in buster had a very nasty bug (#928893) when used to change the LUKS password: it deleted the old password but failed to correctly set the new one, making all data on the disk inaccessible. This has been fixed in the first point release.

Los usuarios que utilicen como su cliente de correo evolution y se conecten a un servidor ejecutando Exchange, Office365 o Outlook con el complemento evolution-ews no deberían actualizarse a buster sin guardar sus datos y sin tener disponible una solución alternativa de antemano. El complemento evolution-ews se ha eliminado debido a la errata #926712 y, si se actualizan, perderán acceso a sus buzones personales, calendario, listas de contactos y tareas y no podrá acceder a ellos con Evolution.

The evolution-ews package has been reintroduced via buster-backports. Users upgrading from stretch to buster can enable buster-backports after the upgrade and then they will be able to reinstall evolution-ews.

Cuando se instala Debian desde los medios «live» con el instalador de Calamares (Sección 2.2.13, “Noticias del grupo Debian Live”) y seleccionan la funcionalidad de cifrado completo de disco, la clave de desbloqueo del disco se guarda en initramfs que puede ser leída por cualquier usuario. Esto permite que los usuarios que tengan acceso al sistema de fichero local puedan leer la clave privada y obtener acceso al sistema de ficheros en el futuro.

Esto puede evitarse añadiendo UMASK=0077 a /etc/initramfs-tools/conf.d/initramfs-permissions y ejecutando update-initramfs -u. Esto generará un nuevo initramfs sin los permisos de lectura universales.

Se ha planeado un arreglo para el instalador (consulte la errata #931373) y se subirá a debian-security. Mientras tanto, los usuarios del cifrado completo de disco deben aplicar la configuración descrita anteriormente.

When using s3ql with Amazon S3 buckets, the configuration needs updating for a change in the URL. The new format is:

s3://<region>/<bucket>/<prefix>

The shipped configurations for /var/log/btmp and /var/log/wtmp have been split from the main configuration file (/etc/logrotate.conf) into separate standalone files (/etc/logrotate.d/btmp and /etc/logrotate.d/wtmp).

If you have modified /etc/logrotate.conf in this regard, make sure to re-adjust the two new files to your needs and drop any references to (b|w)tmp from the main file, since duplicate definitions can cause errors.